[un/loquer] Fwd: [hs] ¿Por qué Rise Up? Reflexiones y dudas al respecto.

[Camilo Cantor]

Este mail que mandaron a la lista de hactivistas me parece que puede
interesarnos ...

Saludos

Camikant
---------- Mensaje reenviado ----------
De: "Atheena" <atheena en cryptolab.net>
Fecha: mar 22, 2014 8:32 a.m.
Asunto: [hs] ¿Por qué Rise Up? Reflexiones y dudas al respecto.
Para: <hacktivistas en listas.sindominio.net>
Cc:

 Rise Up es un proveedor de servicios muy interesante y es obvio que es
bastante popular en esta lista, sobre todo, para usar su servicio de correo
electrónico.

Supongo que cada uno tendrá sus propios motivos, pero me puedo intuir que
mucha gente está buscando un correo alternativo al Gran Hermano (Google,
Microsoft, Yahoo, etc) con intención de reforzar la privacidad. Puedo
imaginarme también que la gente de RiseUp tiene deshabilitados los logs y
sólo guarda la información necesaria para el correcto funcionamiento del
sistema.

*PERO*.

Pero hay algo que me chirría cosa fina. RiseUp está en EEUU, precisamente
donde el poder de la NSA es absoluto, y además existe el respaldo de leyes
completamente abusivas que se escudan en la seguridad nacional para cometer
todo tipo de abusos.

Mi idea no es señalar a RiseUp como un Caballo de Troya. La idea es
recordaros que aun en el caso de que esta gente tenga la mejor de las
intenciones¹, y los conocimientos adecuados para hacer su trabajo
correctamente², si hay un sitio en el mundo donde sus servicios van a ser
sometidos a posibles ataques legales y no tan legales es en EEUU.

Por ejemplo, aunque RiseUp deshabilite los registros locales para evitar
asociaciones de cuenta de correo e IP de conexión, el hecho es que están
dentro de las redes de datos americanas, así que los procesos de
recolección de información pasiva en nodos centrales funcionan a las mil
maravillas. Aunque para realizar esa recolección pasiva de metadatos
también tienen servidores controlados en el extranjero, es de pura lógica
que es en su casita donde su capacidad es máxima. En países europeos o
asiáticos, por ejemplo, aunque fuese con un margen pequeño, quizás sus
capacidades sean menores.

También es de esperar que los ataques activos, como los MITM o de
lanzamiento de malware, sean especialmente efectivos en sus propias redes.
El caso es que todos estos mecanismos ilegales activos o pasivos, en su
casita, están al 100% de sus capacidades.

Por otro lado tenemos los mecanismos legales, como las ordenes judiciales
para secuestrar un servidor. Aquí y en principio, si pensamos en logs
efectivamente al estar desactivados no se puede recuperar ninguna
información. Eso es lo que pasó a los de RiseUp cuando les quitaron unos
servidores en 2003. Pero... también conocemos ahora que la NSA trabaja en
implantes hardware que activan capacidades de espionaje allá donde son
colocados. ¿Qué les impide hacer una orden legal de secuestro de un
servidor con cualquier excusa real o fabricada, para inmediatamente colocar
uno de estos caballos de troya que anulen por completo la seguridad que los
operadores hayan intentado configurar? Los servidores que se capturaron en
2003, después del proceso fueron devueltos a sus dueños obviamente. Parece
que hoy en día, un servicio como RiseUp debería destruir cualquier hardware
que haya caído en manos del gobierno antes de volver a usarlo. No sé si lo
hicieron...

Yo si trabajase en la NSA, os puedo asegurar que entre proyecto y proyecto
me encargaría de poner manos a la obra a algunos de mis empleados para que
al menos algún servidor de RiseUp y otras organizaciones del estilo en mi
territorio acaben troyanizadas. Vaya que sí.

*¿Y entonces qué?*

Que existen muchos más proveedores de correo alternativos, muchos fuera de
la jurisdicción de EEUU, y aunque sus tentáculos lleguen lejos cualquier
cosa que no sea sentarse en su regazo me parece mejor. ¿Estás libre en
países europeos? Probablemente no, que aquí los servicios de inteligencia
también intentarán lo mismo aunque quizás con menor capacidad. Por eso, y
porque los americanos si quieren ya intentarán vulnerar el software en
alguna capa mediante ataques remotos de todo tipo. Pero que oye, que cuando
se habla de privacidad, si pones tus servicios precisamente dentro de su
territorio... pues es que lo estás poniendo a huevo. Cuanto más lejos de
los que tienen más capacidades mejor. La idea es evitar a los Five Eyes
(Australia, Canada, New Zealand, the United Kingdom and the United States),
y también deberíamos incluir a China, Rusia y Alemania probablemente.

Aquí unos cuantos proveedores más, para diversificar y recordar que hay
tierras más allá de RiseUp (con todos los respetos): http://prxbx.com/email/


[¹,²] - Si nos preocupa la seguridad, debemos aceptar que ni tienen las
mejores de las intenciones, ni son suficientemente competentes para
garantizar tu seguridad sin cometer errores en el proceso que puedan ser
aprovechados por atacantes externos.

_______________________________________________
Hacktivistas mailing list
Hacktivistas en listas.sindominio.net
https://listas.sindominio.net/mailman/listinfo/hacktivistas
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.aktivix.org/pipermail/unloquer/attachments/20140322/b66cc665/attachment-0001.html>